kb Frankfurt – Die deutsche Finanzaufsicht BaFin verschiebt die sichere Kundenauthentifizierung bei Kreditkartenzahlungen im Internet vorerst auf unbestimmte Zeit. Dadurch können Verbraucher und Unternehmen wie bisher mit der Kreditkarte im Internet bezahlen, indem sie lediglich die Kreditkartennummer und Prüfziffer eingeben. Diese sind aber im Internet besonders leicht auszuspähen. Eigentlich verpflichtet die EU-Richtlinie PSD2 die Zahlungsdienstleister – also in der Regel die kontoführende Bank – deshalb dazu, ab dem 14. September 2019, eine starke Kundenauthentifizierung durchzuführen, wenn der Karteninhaber durch einen Einkauf im Internet einen elektronischen Zahlungsvorgang auslöst.Bei der starken Kundenauthentifizierung werden zwei voneinander unabhängige Elemente (Faktoren) verwendet. Diese müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen. Beispiele dafür sind ein Passwort (Wissen), ein Mobiltelefon (Besitz) oder ein persönlicher Fingerabdruck (Inhärenz). Bei Kreditkartenzahlungen müssen Kunden dann zusätzlich beispielsweise eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde, und außerdem ein Passwort nennen. Dieses Vorgehen soll das Einkaufen im Internet sicherer machen, wie die BaFin erläutert.Doch der Internethandel ist offenbar noch nicht so weit, das neue Verfahren beim Bezahlen mit Kreditkarte anzuwenden, weil er mit der Implementierung der erforderlichen Software und anderem hinterherhinkt. Bei Unternehmen, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen, bestehe nach wie vor erheblicher Anpassungsbedarf, bemängelt denn auch die deutsche Finanzaufsicht BaFin.Ohne Mitwirken des Händlers geht es aber nicht. Denn der Online-Shop muss nach dem Online-Einkauf beim Bezahlen eine Anfrage an die Bank senden. Diese öffnet ein Eingabefenster im Browser des Kunden und informiert ihn, auf welchem Weg die Zahlung mit der Kreditkarte durch ihn freigegeben werden muss. Kunden müssen zusätzlich beispielsweise eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde, und außerdem ein Passwort nennen. Sind die Eingaben korrekt, bestätigt das System, dass man der rechtmäßige Karteninhaber und dadurch der Kauf abgeschlossen ist. Banken vorbereitetIn einer Mitteilung appelliert die Deutsche Kreditwirtschaft (DK) an den Online-Handel, die Vorbereitungen weiter voranzutreiben. Denn nur der Händler bzw. sein Zahlungsdienstleister könne beim Einsatz der Kreditkarte im Onlinegeschäft den Einsatz des auch als 3-D Secure bekannten Verfahrens auslösen. “Ohne dessen Unterstützung hat die kartenausgebende Bank oder Sparkasse keine Möglichkeit, die gesetzlichen Vorgaben zur Kundenauthentifizierung für E-Commerce-Zahlungen zu erfüllen”, betont die DK, die Interessenvertretung der Bankenverbände in Deutschland. Banken und Sparkassen hätten ihre Vorbereitungen für die Umsetzung der starken Kundenauthentifizierung nahezu abgeschlossen. Diese Einschätzung teilt auch die BaFin: “Die kartenausgebenden Zahlungsdienstleister in Deutschland sind auf die neuen Anforderungen vorbereitet.” – Leitartikel Seite 6